Prévue pour 2018, toutes les entreprises devront se conformer à la nouvelle réglementation générale des données personnelles (RGPD). Cela implique de mettre en place des process de sécurité précis, en particulier pour les données personnelles, une série de changements techniques, juridiques ou opérationnels pour toutes les entreprises, petites ou grandes. Entreprises et RGPD : ce qu’il faut savoir des nouvelles normes.
Entreprises et RGPD : les nouvelles normes
La RGPD est le nouveau texte de référence européen en matière de protection des données à caractère personnel, il remplace l’actuelle Directive sur la protection des données personnelles adoptée en 1995. Même si la RGPD ne doit pas être vue uniquement sous l’angle de la sécurité informatique, il pousse les entreprises à améliorer leurs dispositifs et certaines PME n’attendent pas le 25 mai 2018, date de son entrée en application, pour le faire.
En effet, intégrer la sécurité en amont est nécessaire et économiquement vertueux, car l’intégrer a posteriori coûte plus cher et peut altérer la qualité des services numériques. Avec la RGPD, les entreprises doivent être en mesure de respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.
La mise en place d’une gouvernance des données personnelles au sein d’une entreprise commence par la désignation d’une personne référente qui sera le pilote responsable de la mise en place des process et des outils. Si les entreprises n’ont pas l’obligation légale de nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données), il est essentiel de désigner un porteur de projet sur le sujet.
Un audit obligatoire ?
Un audit doit également être établi afin de cartographier toutes les données personnelles et sensibles de l’entreprise et de définir dans quels types de fichiers elles sont utilisées et comment elles sont gérées. Et en dernier lieu et pas le moindre, pour chaque fichier identifié, l’entreprise doit passer au crible ses obligations et définir ses process et responsabilités pour s’assurer qu’elle est en conformité avec la loi. Il est à rappeler qu’en cas de violation de données à caractère personnel, l’amende peut s’élever jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise.
